Šis dokumentas yra viešoji redaguota AETHER duomenų tvarkymo veiklų registro versija pagal BDAR Reglamento (ES) 2016/679 30 straipsnį. Pilna (vidaus) versija saugoma vidaus dokumentacijoje (DB lentelių vardai, admin runbook'ų keliai, asmens duomenų laukų schemos) — ji pateikiama auditoriams pasirašant NDA.
Šis registras yra "living document" — atnaujinamas kiekvieną kartą, kai pridedamas naujas sub-procesorius arba keičiasi tvarkymo tikslas. Visus pakeitimus galite stebėti pakeitimų žurnale.
1. Duomenų valdytojas
| Laukas | Reikšmė |
|---|
| Pavadinimas | Azora Lab — Individuali veikla |
| Adresas | Vilnius, Lietuva |
| EVRK | 62.01 / 62.02 (programavimas + konsultacinė veikla) |
| Atsakingas asmuo | Aleksandras (žr. /apie) |
| BDAR kontaktas | privacy@azorasec.lt |
| DPO (Art. 37) | Nepaskirtas — netaikoma sole-prop B2B SaaS scope. Atsakomybė per atsakingą asmenį. |
| Veiklos pradžia | 2026-04-19 (production launch) |
2. Tvarkymo veiklos
2.1. Klientų registracija ir paskyros tvarkymas
| Laukas | Reikšmė |
|---|
| Tikslas | Sukurti ir palaikyti klientų paskyras AETHER platformoje |
| Teisinis pagrindas (Art. 6) | (b) sutarties vykdymas — paslaugos teikimas |
| Duomenų subjektai | AETHER platformos klientai (B2B SMB Lietuvos įmonių atstovai) |
| Asmens duomenų kategorijos | Vardas, pavardė, el. paštas, telefono numeris (neprivalomas), atstovaujama įmonė, įmonės kodas |
| Specialios kategorijos (Art. 9) | Nėra |
| Gavėjai (sub-procesoriai) | Supabase (Frankfurt), Resend (transactional emails) |
| Tarpvalstybiniai perdavimai | Resend dalinai JAV (DPF + SCC) |
| Saugojimo terminas | Aktyvi paskyra + 3 metai po uždarymo |
| Saugumo priemonės | TLS 1.2+ tranzite, AES-256 saugykloje, Row-Level Security (RLS) DB lygmenyje, bcrypt slaptažodžių hash'avimas |
2.2. KSRA atitikties audito atlikimas
| Laukas | Reikšmė |
|---|
| Tikslas | Atlikti KSRA atitikties auditą, generuoti AI rekomendacijas (su žmogaus peržiūra), parengti PDF ataskaitą |
| Teisinis pagrindas (Art. 6) | (b) sutarties vykdymas + (f) teisėtas interesas (kokybės užtikrinimas) |
| Duomenų subjektai | Kliento įmonės darbuotojai (kurie pildo klausimyną); kliento įmonės klientai (jei skenuojami DNS/portai) |
| Asmens duomenų kategorijos | Klausimyno atsakymai (gali apimti darbuotojų skaičių, IT politikų aprašymus), domenų DNS įrašai, atviri portai, SSL sertifikatų info |
| Specialios kategorijos | Nėra (skenavimas — pasyvus, jokio kodo vykdymo, jokios eksploatavimo) |
| Gavėjai | Supabase, Anthropic Inc. (AI rekomendacijos), Resend (PDF email pristatymas) |
| Tarpvalstybiniai perdavimai | Anthropic JAV (DPF + SCC + Zero Data Retention — modelio mokymui NEnaudojama) |
| Saugojimo terminas | 5 metai (KSRA + LR Kibernetinio saugumo įstatymas Art. 14 — audito dokumentacija) |
| Saugumo priemonės | TLS, RLS per tenant, audit log'as kiekvienam admin veiksmui, AI rekomendacijos pažymėtos generated flag'u, prieš siunčiant —žmogaus peržiūra mandatory (BDAR Art. 22 + AI Act Art. 14) |
2.3. Mokėjimų apdorojimas
| Laukas | Reikšmė |
|---|
| Tikslas | Priimti mokėjimus už audito paslaugas |
| Teisinis pagrindas (Art. 6) | (b) sutarties vykdymas; (c) teisinė prievolė (mokesčių apskaita, LR Buhalterinės apskaitos įstatymas) |
| Duomenų subjektai | Mokantys klientai |
| Asmens duomenų kategorijos | Mokėjimo metaduomenys (Stripe Customer ID, sumos, datos), sąskaitos faktūros adresas |
| Specialios kategorijos | Nėra (Stripe tvarko kortelių duomenis tiesiogiai — AETHER kortelės numerių NEsaugome; PCI DSS Level 1 inheritance) |
| Gavėjai | Stripe Inc. (US, DPF + SCC) |
| Tarpvalstybiniai perdavimai | Stripe JAV |
| Saugojimo terminas | 7 metai (LR Buhalterinės apskaitos įstatymas Art. 13 — apskaitos dokumentų saugojimo terminas) |
| Saugumo priemonės | Stripe webhook signature verification, idempotency per UNIQUE event_id, no card data stored at AETHER |
2.4. Paslaugos kokybės ir saugumo monitoringas
| Laukas | Reikšmė |
|---|
| Tikslas | Ankstyvas saugumo incidentų aptikimas, sistemos veiklos stebėjimas, duomenų pažeidimų pranešimas pagal BDAR 33 str. |
| Teisinis pagrindas (Art. 6) | (f) teisėtas interesas — platformos saugumas. LIA atlikta — neapima jokių kontaktų ar elgesio profiliavimo. |
| Duomenų subjektai | Visi platformos vartotojai (anonimizuoti telemetrijoje) |
| Asmens duomenų kategorijos | IP adresas (sutrumpintas po /24 mask), user agent, request URL, HTTP status, neidentifikuojantis telemetrijos hash'as |
| Specialios kategorijos | Nėra |
| Gavėjai | Sentry (EU regionas), Cloudflare (edge metadata, jokie cookies) |
| Tarpvalstybiniai perdavimai | Cloudflare ES bendrovė UK/IE — DPF + SCC; Sentry EU regione (jokio perdavimo) |
| Saugojimo terminas | 30 dienų (klaidų logai), 90 dienų (saugumo įvykiai), 30 dienų (Cloudflare edge logs) |
| Saugumo priemonės | Sentry PII filtering, IP truncation prieš logging'ą, role-segmented systemd unit, CSP enforced |
2.5. Vidinis CRM (admin tools)
| Laukas | Reikšmė |
|---|
| Tikslas | Admin'ui realaus laiko pranešimai apie naujus auditus, mokėjimus, AI generavimo statusą; patvirtinimo workflow ataskaitų siuntimui klientui |
| Teisinis pagrindas (Art. 6) | (f) teisėtas interesas — efektyvus paslaugų teikimas |
| Duomenų subjektai | Klientų organizacijos (vardas, kodas), tvarkytojas (admin) |
| Asmens duomenų kategorijos | Įmonės pavadinimas, audito ID, atitikties balas, audito metaduomenys (jokio individualaus PII) |
| Specialios kategorijos | Nėra |
| Gavėjai | Telegram Messenger Inc. (US — administraciniam panaudojimui, ne klientų asmens duomenims) |
| Tarpvalstybiniai perdavimai | Telegram JAV — SCC + BDAR Art. 49(1)(c) (esminis sutarties vykdymas) |
| Saugojimo terminas | Telegram chat istorija saugoma admin'o telefone (asmeninė atsakomybė); platforma neturi prieigos |
| Saugumo priemonės | Bot token rotacija, admin chat ID whitelist, callback button auth (timingSafeEqual), zero-secret bot policy |
3. Tarpvalstybinių perdavimų suvestinė
Pilnas sub-procesoriaus registras + pakeitimų žurnalas + 30 d. išankstinio pranešimo mechanizmas atskirai dokumentuotas /sub-procesoriai puslapyje.
4. Subjektų teisės — užtikrinimo procesai
| Teisė | Realizavimas | Atsakymo terminas |
|---|
| Susipažinimas (Art. 15) | /dashboard/nustatymai/duomenys → JSON arba CSV eksportas | Iš karto |
| Ištaisymas (Art. 16) | /dashboard/nustatymai → tiesioginis profilio redagavimas | Iš karto |
| Ištrynimas (Art. 17) | /dashboard/nustatymai/istrinti-paskyra → 30 d. atidėjimas + admin alert | 30 d. |
| Apribojimas (Art. 18) | El. paštu privacy@azorasec.lt | 30 d. |
| Perkeliamumas (Art. 20) | /dashboard/nustatymai/duomenys → JSON / CSV formatas | Iš karto |
| Prieštaravimas (Art. 21) | El. paštu | 30 d. |
| Automatizuoti sprendimai (Art. 22) | AI rekomendacijos visada peržiūrimos žmogaus prieš siunčiant —approved_by_human=true flag mandatory | N/A — žmogaus įsikišimas užtikrinamas |
5. Pažeidimo pranešimas (BDAR Art. 33+34)
- Vidinis runbook'as: viešas excerpt'as /saugumo-politika §7.3; pilnas variantas — pasirašant NDA per security@azorasec.lt
- VDAI pranešimas per 72 val. nuo aptikimo (Art. 33)
- Subjektų pranešimas per 72 val. jei kelia didelę riziką (Art. 34)
- Detekcija: Postgres triggers + SSH watcher + Sentry + manual audit log review
- NIS2 23 str. timeline: žr. /saugumo-politika §7 (24h ankstyvas perspėjimas + 72h pirminis pranešimas + 30d galutinė ataskaita)
6. Audito istorija
| Data | Auditorius | Rezultatas |
|---|
| 2026-05-07 | Compliance Auditor (Round 4) | 95.5/100 — free-cert ceiling reached |
| 2026-05-06 | Compliance Auditor (Round 3) | 94.5/100 — B1-B5 cheap remediations complete |
| 2026-05-06 | Compliance Auditor (Round 2) | 91/100 — P1-P10 punch list complete |
| 2026-04-29 | Compliance Auditor (Round 1) | 81/100 — 5 kritiniai trūkumai identifikuoti (Anthropic disclosure, /dashboard/nustatymai routes, ROPA, Art. 22, breach clause) |
7. Versijos istorija
| Versija | Data | Pakeitimas |
|---|
| v1.0 | 2026-05-07 | Pradinė vieša ROPA versija (redacted iš vidaus dokumentacijos) |
8. Susiję dokumentai